下载掌阅APP,畅读海量书库
立即打开
检测是发现网络安全事件的基础,是应急响应行动能够开展的前提。事件响应的所有动作都依赖于检测。如果没有准确的检测手段,就无法确定网络是否已经遭受到了侵害,相应的后续处置就无法展开。在应急响应处置流程中,检测最重要的目的就是判断是否发生了网络安全事件。
检测是一个长期、持续的过程,从一台设备首次接入网络,针对该设备的检测工作就已经开始了,互联网中的设备数以千万计,检测的自动化和智能化就显得尤为重要。我们必须明白,仅仅依靠人力的检测是完全无法实现的,安全事件的检测往往需要依靠自动化的系统和工具的支持。
安全检测可分为实时安全监控检测和安全扫描检测两大类,安全扫描检测又可细分为主机安全扫描检测和网络安全扫描检测。所有检测手段使用的最终目的是判断安全事件的发生。
1.实时安全监控检测
实时安全监控检测主要是通过软件或硬件对网络上的流量进行实时检查,将网络中的数据流与入侵特征数据库的数据进行匹配,可以及时发现已存在或潜在的网络攻击行为并立刻作出响应。
入侵检测系统(IDS)就是一种跨接在网络上的实时安全监控检测技术。在计算机网络中,IDS根据网络流量、安全日志、外部信息、网络行为、审计数据等信息,判断网络及主机的运行状态,识别网络攻击行为并发出安全事件告警。IDS能够补充和完善防火墙等安全防护措施存在的技术缺陷,且由于其跨接方式不会在检测过程中影响网络性能,因此得到了快速推广。
随着网络攻击技术的不断提高和网络安全漏洞的不断发现,传统防火墙技术加上传统IDS的技术,已经无法应对一些新兴的安全威胁,在这种情况下,入侵防御系统(IPS)应运而生。IPS采用串接方式接入网络,可以深度感知并检测流经的数据流量,通过协议分析跟踪、特征匹配、流量统计分析、事件关联分析等手段,可发现隐藏于数据流量中的网络攻击,并根据攻击立即采取抵御措施。与IDS相比,IPS的串接方式势必会降低网络的性能,因此IPS必须酌情部署。
2.安全扫描检测
(1)主机安全扫描检测。
主机安全扫描一方面是通过检测目标主机操作系统的配置情况,及时发现安全漏洞并给出建议和修补措施。另一方面,检测系统上执行的进程是否存在用户、管理员和系统功能的非授权行为,反常的系统性能表明入侵者可能正在使用系统,异常的进程表明可能已经有入侵发生了。
主机安全扫描检测可以采用检查系统警告、系统错误报告、系统性能统计信息,监视进程动作和行为、用户行为、是否存在网络探测器等方式,也可运行网络扫描工具、漏洞扫描工具主动扫描。
(2)网络安全扫描检测。
网络安全扫描检测是一种主动的检测行为,一方面可以通过扫描更新网络中存活资产的类型、数目等信息;另一方面可以检测网络中终端的合规性、漏洞、弱口令及资产的策略配置等状况。端口扫描和漏洞扫描技术是网络安全扫描检测的核心技术。
端口是为计算机传输信息数据而设计的,也是黑客利用作为入侵的通道,尤其是一些存在漏洞的高危端口成为恶意代码传播的“帮凶”。端口扫描技术就是通过向目标主机的特定端口发送探测数据包,而后分析主机的反馈信息了解目标主机的安全风险。
系统漏洞指的是与系统安全规则存在冲突的错误,漏洞扫描能够检测主机中潜在的漏洞,包括不正确的文件属性和权限设置、脆弱的用户口令、错误的网络服务配置、操作系统底层非授权的更改以及攻击者破坏系统的迹象等,及时发现漏洞并予以修补,就可以降低系统安全风险。
3.生成安全事件
无论是安全监控还是安全扫描,都只能在应急响应系统中扮演侦察兵与预警员的角色,无法独自完成对网络的保护。检测阶段的最终任务还是要将监控和扫描得到的恶意代码、系统漏洞、网络攻击等告警,根据相应的安全策略生成需要处置的安全事件。
当然,并不是所有的告警都有建立安全事件的必要性,例如一些常见的病毒和系统漏洞,用户可以根据主机上安装的安全软件提示,很容易地完成病毒清理和漏洞修复工作,这些往往不需要消耗应急响应人员宝贵的精力去处置。
值得注意的是,一些譬如病毒反复感染、病毒大规模传播、网络攻击、信息泄露、设施设备故障等对网络影响范围大、程度深的状况,需要建立相应的安全事件开展应急响应事件处置工作。